챗GPT의 등장이 보안 업계를 긴장시키고 있다. 긴장의 이유 중 어떤 건 섣부르고 어떤 건 적절하다. 인공지능으로부터 만들어지는 위협들을 무조건 무서워하지도, 무조건 쳐내지도 말아야 하는 건 방어의 효과를 높여야 하기 때문이다. 인공지능 시대의 방어를 위해 준비해야 할 것들이 있다.
[보안뉴스 문정후 기자] 이런 일이 일어나면 어떻게 될까? 갑자기 회사 사장님이 당신에게 뭔가를 물어보는 메일을 보냈다. 메일 주소는 사장님의 그것이고, 사장님의 언어 습관이나 말투가 메일에 그대로 배어 있다. 심지어 개그 스타일과 아이템마저 비슷하다. 이 정도면 속지 않는 게 이상할 정도이지 않을까? 하지만 생성형 인공지능 알고리즘을 사용하면 이런 감쪽같은 이메일을 만드는 게 아무 것도 아닌 것이 된다. 사장님의 소셜미디어 계정을 조금만 학습하면 인공지능은 그럴 듯하게 흉내 낼 수 있게 된다.
[이미지 = utoimage]
수개월 전 챗GPT라는 기술이 등장하면서 인공지능에 대한 사람들의 생각은 보다 ‘현실적’이 되었다. 인공지능이 어디까지 왔고, 어떤 식으로 업무에 활용될 수 있으며, 그 강력함이 어떤 의미가 되는지를 보다 구체적으로 생각하게 되었다는 것이다. 보안 업계도 생성형 인공지능이 가진 위험성과 실질적인 공격 시나리오를 고민하기 시작했다. 인공지능을 활용한 공격은 이제 어쩌다 한 번 있을까 말까 한 예외적인 경우가 아니게 되었다. 챗GPT를 가지고 설득력 높은 피싱 이메일을 만들고, 악성 코드를 뚝딱 제작하는 게 실제 상황인 때다.
챗GPT 하나만으로도 이런 상황에 이르렀는데, 다른 성능 좋은 생성형 인공지능들이 출몰하면 어떻게 될까? 실제로 챗GPT는 세상에 처음 발명된 챗봇이 아니며, 마지막 챗봇은 더더욱 아니다. 챗GPT의 업그레이드 버전도 나왔고, 구글과 바이두 역시 인공지능 전쟁에 참여함을 선포했다. 앞으로 더 많은 기업들이 각자의 인공지능 기술을 부단히 개발하고 향상시키면서 사용자들을 인공지능의 세계로 안내할 것이다. 이런 미래가 보안에는 어떤 의미를 가지게 될까?
인공지능과 사이버 범죄로의 진입 장벽
챗GPT가 등장해 시장에 충격을 안겼을 때 IT 업계 많은 전문가들이 가장 염려했던 것은 보안이었다. 사이버 범죄자들이 이토록 뛰어난 생성형 인공지능 기술을 가지고 더 강력하고 효과적인 공격을 할 수 있게 되는 건 아닐까? 피싱 메일도 써주고 악성 스크립트도 써주니, 사이버 범죄로의 진입 장벽을 낮춰주는 건 아닐까? 그러면서 여러 가설이 등장하고 실험들이 이어졌다.
물론 챗GPT가 강력한 도구인 것은 사실이다. 용례도 무궁무진하여 요 몇 개월 안에 인간이 챗GPT 활용법을 죄다 알아냈다고 할 수도 없다. 따라서 우리는 챗GPT를 다 안다고 할 수 없다. 그럼에도 일부 용례를 통해 기존 업무를 챗GPT가 훨씬 효율적으로 수행할 수 있다는 것은 여러 차례 입증됐다. 특히 지식과 정보를 수집하거나, 요약하거나, 단순 반복 업무를 자동화 하는 측면에서는 타의 추종을 불허한다. 사이버 보안 사고를 일으킬 수 있다는 염려는 합리적인 것이다.
하지만 챗GPT는 아직 ‘완벽한’ 기술이 아니다. 무슨 문제만 생기면 해결해 주는 척척박사도 아니다. 챗GPT는 자신이 훈련 받은 것에 대해서만 기능을 발휘하지, 새로운 영역에서는 아무런 효력을 내지 못한다. 뿐만 아니라 ‘도대체 어떤 데이터를 가지고 챗GPT를 훈련시킨 것인가?’라는 질문들이 나오고 있기도 하다. 인공지능이 완성시킨 논문들 중 표절 시비에 휘말릴 만한 것들이 나오고 있고, 가짜뉴스 혹은 허위 정보에 해당하는 기사들 역시 챗GPT가 작성한다는 사실이 여러 차례 밝혀졌다. 즉 챗GPT가 만들어낸 답을 사람이 검사하지 않은 채 있는 그대로 쓸 수는 없는 상태라는 것이다. 챗GPT에 대해 우리가 다 알고 있진 않지만, 시간이 흐를수록 ‘아직 전부 신뢰할 수는 없는 수준’이라는 것은 확실해지고 있다.
이 점은 사이버 보안과 방어에서도 그대로 적용된다. 사이버 범죄자가 생성형 인공지능을 가지고 멀웨어를 만들고 싶어졌을 때, 챗GPT에게 간단한 명령 하나 내리는 것으로 일이 끝나지 않는다. 오히려 확인과 수정 작업을 멀웨어 개발 전 과정을 통틀어 반복해야 해서 더 힘들어질 수도 있다. 원하는 멀웨어가 가지고 있어야 할 기능들이 제대로 작동하는지, 검사하고 또 검사해야 한다.
그러려면 멀웨어도 그렇고 피해자의 환경도 그렇고, 공격자가 모든 것을 잘 이해하고 있어야 한다. 컴퓨터와 네트워크의 전반적인 지식들도 갖춰야 한다. 결국 지식 없이도 멀웨어를 만들 수 있다는 건 아직까지 현실화 되지 않았다는 것이다. 다만 정교한 피싱 메일을 만드는 데에는 챗GPT가 꽤나 효과적인 것으로 보인다.
생성형 인공지능이 기반이 된 공격은 ‘양보다 질’
필자가 속한 보안 팀에서는 챗GPT가 사이버 공격의 양을 획기적으로 늘릴 것인지에 대한 연구를 진행했었다. 실제로 인공지능이 공격 행위의 효율을 높일 것이기 때문에 양적 팽창이 우려된다는 의견이 보안 업계에서 꽤나 큰 힘을 얻었었다. 하지만 뚜껑을 열어 보니 조금은 다른 양상이 우리를 기다리고 있었다.
챗GPT가 발표된 이후 이메일을 기반으로 하는 사이버 공격의 수는 그리 크게 변하지 않았다. 오히려 악성 링크의 클릭을 유도하려는 종류의 피싱 이메일은 22%에서 14%로 줄어들었다. 다만 피싱 이메일의 ‘언어학적 복잡성’은 17%나 올라갔다. 즉 보다 많은 내용을 자연스러운 언어로 이메일 본문에 담아낼 수 있게 되었다는 것이다. 물론 이메일에서의 언어 구사력이 높아진 게 반드시 챗GPT 때문이었다고만은 할 수 없다. 다른 요인이 작용했을 가능성도 있다.
그래서 전문가들 사이에서는 몇 가지 가설이 존재한다. 그 중 하나는 “챗GPT 덕분에 사이버 범죄자들이 사칭 작업에 보다 집중할 수 있게 됐다”는 것이다. 재무 담당자와 좀 더 깊은 신뢰 관계를 만든다거나, 로맨스 스캠을 더 그럴 듯하게 진행한다거나, CEO 흉내를 진짜처럼 낸다거나 하는 식으로 말이다. 이 글의 초반에 등장했던 예시를 기억해 보라. 공격 대상에 대한 정보를 소셜미디어 등에서 빠르게 스크랩한 뒤 챗GPT에 입력하고 “이 사람이 썼을 법한 이메일을, 이런 저런 내용으로 만들어 달라”고 요청하면 챗GPT는 수초 안에 진짜와 흡사한 이메일 본문을 갖게 된다. 공격의 양은 그대로인데, 질적인 향상이 어마어마한 것이다.
기계와 기계가 싸우는 미래
지난 약 10년의 기간 동안 전문가들은 인공지능이 가세한 사이버 공격과 위협에 대해 끊임없이 경고해 왔다. 챗GPT의 등장으로 이제 그 미래의 문턱에 도착한 느낌이다. 챗GPT에 자극을 받은 전 세계 최고의 테크 기업들은 앞 다투어 인공지능을 시장에 내놓을 것이고, 새롭게 등장하는 인공지능은 갈수록 정교해지고 빨라지고 신뢰할 만한 것으로 변할 것이다.
이런 기술력의 발전을 사이버 공격자들이 가만히 둘 리 없다. 여태까지 그래왔듯 그들은 기술을 그들의 목적 달성을 위해 얼마든지 악용할 것이다. 딥페이크 오디오와 비디오를 사용한 공격은 이미 실재하고, 그 동안 우리가 상상도 못했던 것들을 공격자들은 실행할 것이다.
방어자들로서는 인공지능을 등에 업은 공격자들의 교묘한 공격을 손으로 한 땀 한 땀 막으려 해서는 안 된다. 방어에도 인공지능의 힘이 필요하다. 기계의 속도는 기계만이 따라잡을 수 있다. 스스로 학습하여 사용자와 사용자의 조직에 대한 깊은 지식을 갖추고, 이를 바탕으로 위협 요인들을 빠르게 식별하는 인공지능의 기술이 있어야, 진짜 사람과 똑같아지는(사이버 공간 상에서는) 공격용 인공지능의 움직임을 포착할 수 있다.
이게 가능하게 되려면 어떻게 해야 할까? 인공지능이 매일 기업들 안에서 이뤄지는 일상과 평범한 업무들에 대하여 이해하고 있어야 한다. 우리의 일상이 일상임을, 우리의 평범한 날들이 어떤 것들로 구성되어 있는지를 인공지능이 알고 있어야 한다는 것이다. 외부의 공격자나 알고리즘보다 우리를 더 잘 알고 있는 인공지능이 하나쯤 회사 내에 있어야 방어를 성공적으로 수행할 것이라는 뜻이 된다.
챗GPT의 등장으로 우리는 본격적인 인공지능 경쟁 시대에 돌입했다. 어떤 형태로든 인공지능이 위협으로 작동할 것은 너무나 뻔한 일이다. 그렇기 때문에 방어를 해내야 하는 우리는 지금부터 인공지능을 네트워크 안에 심어두고 우리의 평범한 일상을 학습할 수 있도록 해야 한다.
글 : 맥스 하이너마이어(Max Heinemeyer), CPO, Darktrace
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 이런 일이 일어나면 어떻게 될까? 갑자기 회사 사장님이 당신에게 뭔가를 물어보는 메일을 보냈다. 메일 주소는 사장님의 그것이고, 사장님의 언어 습관이나 말투가 메일에 그대로 배어 있다. 심지어 개그 스타일과 아이템마저 비슷하다. 이 정도면 속지 않는 게 이상할 정도이지 않을까? 하지만 생성형 인공지능 알고리즘을 사용하면 이런 감쪽같은 이메일을 만드는 게 아무 것도 아닌 것이 된다. 사장님의 소셜미디어 계정을 조금만 학습하면 인공지능은 그럴 듯하게 흉내 낼 수 있게 된다.
[이미지 = utoimage]
수개월 전 챗GPT라는 기술이 등장하면서 인공지능에 대한 사람들의 생각은 보다 ‘현실적’이 되었다. 인공지능이 어디까지 왔고, 어떤 식으로 업무에 활용될 수 있으며, 그 강력함이 어떤 의미가 되는지를 보다 구체적으로 생각하게 되었다는 것이다. 보안 업계도 생성형 인공지능이 가진 위험성과 실질적인 공격 시나리오를 고민하기 시작했다. 인공지능을 활용한 공격은 이제 어쩌다 한 번 있을까 말까 한 예외적인 경우가 아니게 되었다. 챗GPT를 가지고 설득력 높은 피싱 이메일을 만들고, 악성 코드를 뚝딱 제작하는 게 실제 상황인 때다.
챗GPT 하나만으로도 이런 상황에 이르렀는데, 다른 성능 좋은 생성형 인공지능들이 출몰하면 어떻게 될까? 실제로 챗GPT는 세상에 처음 발명된 챗봇이 아니며, 마지막 챗봇은 더더욱 아니다. 챗GPT의 업그레이드 버전도 나왔고, 구글과 바이두 역시 인공지능 전쟁에 참여함을 선포했다. 앞으로 더 많은 기업들이 각자의 인공지능 기술을 부단히 개발하고 향상시키면서 사용자들을 인공지능의 세계로 안내할 것이다. 이런 미래가 보안에는 어떤 의미를 가지게 될까?
인공지능과 사이버 범죄로의 진입 장벽
챗GPT가 등장해 시장에 충격을 안겼을 때 IT 업계 많은 전문가들이 가장 염려했던 것은 보안이었다. 사이버 범죄자들이 이토록 뛰어난 생성형 인공지능 기술을 가지고 더 강력하고 효과적인 공격을 할 수 있게 되는 건 아닐까? 피싱 메일도 써주고 악성 스크립트도 써주니, 사이버 범죄로의 진입 장벽을 낮춰주는 건 아닐까? 그러면서 여러 가설이 등장하고 실험들이 이어졌다.
물론 챗GPT가 강력한 도구인 것은 사실이다. 용례도 무궁무진하여 요 몇 개월 안에 인간이 챗GPT 활용법을 죄다 알아냈다고 할 수도 없다. 따라서 우리는 챗GPT를 다 안다고 할 수 없다. 그럼에도 일부 용례를 통해 기존 업무를 챗GPT가 훨씬 효율적으로 수행할 수 있다는 것은 여러 차례 입증됐다. 특히 지식과 정보를 수집하거나, 요약하거나, 단순 반복 업무를 자동화 하는 측면에서는 타의 추종을 불허한다. 사이버 보안 사고를 일으킬 수 있다는 염려는 합리적인 것이다.
하지만 챗GPT는 아직 ‘완벽한’ 기술이 아니다. 무슨 문제만 생기면 해결해 주는 척척박사도 아니다. 챗GPT는 자신이 훈련 받은 것에 대해서만 기능을 발휘하지, 새로운 영역에서는 아무런 효력을 내지 못한다. 뿐만 아니라 ‘도대체 어떤 데이터를 가지고 챗GPT를 훈련시킨 것인가?’라는 질문들이 나오고 있기도 하다. 인공지능이 완성시킨 논문들 중 표절 시비에 휘말릴 만한 것들이 나오고 있고, 가짜뉴스 혹은 허위 정보에 해당하는 기사들 역시 챗GPT가 작성한다는 사실이 여러 차례 밝혀졌다. 즉 챗GPT가 만들어낸 답을 사람이 검사하지 않은 채 있는 그대로 쓸 수는 없는 상태라는 것이다. 챗GPT에 대해 우리가 다 알고 있진 않지만, 시간이 흐를수록 ‘아직 전부 신뢰할 수는 없는 수준’이라는 것은 확실해지고 있다.
이 점은 사이버 보안과 방어에서도 그대로 적용된다. 사이버 범죄자가 생성형 인공지능을 가지고 멀웨어를 만들고 싶어졌을 때, 챗GPT에게 간단한 명령 하나 내리는 것으로 일이 끝나지 않는다. 오히려 확인과 수정 작업을 멀웨어 개발 전 과정을 통틀어 반복해야 해서 더 힘들어질 수도 있다. 원하는 멀웨어가 가지고 있어야 할 기능들이 제대로 작동하는지, 검사하고 또 검사해야 한다.
그러려면 멀웨어도 그렇고 피해자의 환경도 그렇고, 공격자가 모든 것을 잘 이해하고 있어야 한다. 컴퓨터와 네트워크의 전반적인 지식들도 갖춰야 한다. 결국 지식 없이도 멀웨어를 만들 수 있다는 건 아직까지 현실화 되지 않았다는 것이다. 다만 정교한 피싱 메일을 만드는 데에는 챗GPT가 꽤나 효과적인 것으로 보인다.
생성형 인공지능이 기반이 된 공격은 ‘양보다 질’
필자가 속한 보안 팀에서는 챗GPT가 사이버 공격의 양을 획기적으로 늘릴 것인지에 대한 연구를 진행했었다. 실제로 인공지능이 공격 행위의 효율을 높일 것이기 때문에 양적 팽창이 우려된다는 의견이 보안 업계에서 꽤나 큰 힘을 얻었었다. 하지만 뚜껑을 열어 보니 조금은 다른 양상이 우리를 기다리고 있었다.
챗GPT가 발표된 이후 이메일을 기반으로 하는 사이버 공격의 수는 그리 크게 변하지 않았다. 오히려 악성 링크의 클릭을 유도하려는 종류의 피싱 이메일은 22%에서 14%로 줄어들었다. 다만 피싱 이메일의 ‘언어학적 복잡성’은 17%나 올라갔다. 즉 보다 많은 내용을 자연스러운 언어로 이메일 본문에 담아낼 수 있게 되었다는 것이다. 물론 이메일에서의 언어 구사력이 높아진 게 반드시 챗GPT 때문이었다고만은 할 수 없다. 다른 요인이 작용했을 가능성도 있다.
그래서 전문가들 사이에서는 몇 가지 가설이 존재한다. 그 중 하나는 “챗GPT 덕분에 사이버 범죄자들이 사칭 작업에 보다 집중할 수 있게 됐다”는 것이다. 재무 담당자와 좀 더 깊은 신뢰 관계를 만든다거나, 로맨스 스캠을 더 그럴 듯하게 진행한다거나, CEO 흉내를 진짜처럼 낸다거나 하는 식으로 말이다. 이 글의 초반에 등장했던 예시를 기억해 보라. 공격 대상에 대한 정보를 소셜미디어 등에서 빠르게 스크랩한 뒤 챗GPT에 입력하고 “이 사람이 썼을 법한 이메일을, 이런 저런 내용으로 만들어 달라”고 요청하면 챗GPT는 수초 안에 진짜와 흡사한 이메일 본문을 갖게 된다. 공격의 양은 그대로인데, 질적인 향상이 어마어마한 것이다.
기계와 기계가 싸우는 미래
지난 약 10년의 기간 동안 전문가들은 인공지능이 가세한 사이버 공격과 위협에 대해 끊임없이 경고해 왔다. 챗GPT의 등장으로 이제 그 미래의 문턱에 도착한 느낌이다. 챗GPT에 자극을 받은 전 세계 최고의 테크 기업들은 앞 다투어 인공지능을 시장에 내놓을 것이고, 새롭게 등장하는 인공지능은 갈수록 정교해지고 빨라지고 신뢰할 만한 것으로 변할 것이다.
이런 기술력의 발전을 사이버 공격자들이 가만히 둘 리 없다. 여태까지 그래왔듯 그들은 기술을 그들의 목적 달성을 위해 얼마든지 악용할 것이다. 딥페이크 오디오와 비디오를 사용한 공격은 이미 실재하고, 그 동안 우리가 상상도 못했던 것들을 공격자들은 실행할 것이다.
방어자들로서는 인공지능을 등에 업은 공격자들의 교묘한 공격을 손으로 한 땀 한 땀 막으려 해서는 안 된다. 방어에도 인공지능의 힘이 필요하다. 기계의 속도는 기계만이 따라잡을 수 있다. 스스로 학습하여 사용자와 사용자의 조직에 대한 깊은 지식을 갖추고, 이를 바탕으로 위협 요인들을 빠르게 식별하는 인공지능의 기술이 있어야, 진짜 사람과 똑같아지는(사이버 공간 상에서는) 공격용 인공지능의 움직임을 포착할 수 있다.
이게 가능하게 되려면 어떻게 해야 할까? 인공지능이 매일 기업들 안에서 이뤄지는 일상과 평범한 업무들에 대하여 이해하고 있어야 한다. 우리의 일상이 일상임을, 우리의 평범한 날들이 어떤 것들로 구성되어 있는지를 인공지능이 알고 있어야 한다는 것이다. 외부의 공격자나 알고리즘보다 우리를 더 잘 알고 있는 인공지능이 하나쯤 회사 내에 있어야 방어를 성공적으로 수행할 것이라는 뜻이 된다.
챗GPT의 등장으로 우리는 본격적인 인공지능 경쟁 시대에 돌입했다. 어떤 형태로든 인공지능이 위협으로 작동할 것은 너무나 뻔한 일이다. 그렇기 때문에 방어를 해내야 하는 우리는 지금부터 인공지능을 네트워크 안에 심어두고 우리의 평범한 일상을 학습할 수 있도록 해야 한다.
글 : 맥스 하이너마이어(Max Heinemeyer), CPO, Darktrace
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
